Em 2008, consegui visitar uma empresa de TI. Uma tensão doentia foi lida em cada funcionário. O motivo era simples: telefones celulares - em uma caixa na entrada do escritório, atrás - de uma câmera, duas grandes câmeras adicionais "de aparência" no escritório e software de monitoramento com um keylogger. E sim, essa não é a empresa que desenvolveu o SORM ou os sistemas de suporte de vida das aeronaves, mas apenas um desenvolvedor de software de negócios de aplicativos, agora absorvido, esmagado e não mais existente (o que parece lógico). Se você acabou de chegar e acha que seu escritório com redes e M&M em vasos definitivamente não está lá, você pode estar muito enganado - é só que em 11 anos o controle aprendeu a ser invisível e correto, sem desmontar os sites visitados e os filmes baixados.
Então, é realmente impossível sem tudo isso, mas e a confiança, a lealdade, a fé nas pessoas? Não acredite, mas as empresas sem segurança não são menores. Mas os funcionários conseguem apertar os olhos ali e ali - simplesmente porque o fator humano é capaz de destruir mundos, não como a sua empresa. Então, onde seus funcionários podem acordar?
Esta não é uma publicação muito séria, que tem exatamente duas funções: alegrar um pouco os dias úteis e lembrá-lo das coisas básicas de segurança, que geralmente são esquecidas. E, bem, mais uma vez lembrá-lo de um
sistema CRM legal e seguro - esse software não é uma vantagem de segurança? :-)
Perseguido no modo aleatório!
Senhas, senhas, senhas ...
Você fala sobre eles e surge uma onda de indignação: como assim, quantas vezes eles repetiram para o mundo, e as coisas ainda estão lá! Em empresas de todos os níveis, de empreendedores privados a corporações transnacionais, esse é um ponto muito dolorido. Às vezes me parece que se amanhã eles criarem uma Estrela da Morte real, haverá algo como admin / admin no painel de administração. Então, o que esperar dos usuários comuns para os quais sua própria página do VKontakte é muito mais cara que a contabilidade corporativa? Aqui estão os pontos a serem verificados:
- Escrever senhas em pedaços de papel, na parte de trás do teclado, no monitor, na mesa embaixo do teclado, no adesivo na parte inferior do mouse (peculiar!) - os funcionários nunca devem fazer isso. E não porque um hacker terrível chegue e faça o download de todo o 1C para uma unidade flash USB durante o almoço, mas porque Sasha pode estar ofendida no escritório, quem vai desistir e dar uma merda ou pegar informações pela última vez. Por que não fazê-lo no almoço regular?
Isso é alguma coisa? Essa coisa armazena todas as minhas senhas.- Definir senhas simples para inserir o PC e programas de trabalho. Datas de nascimento, qwerty123 e até asdf são combinações que têm lugar nas piadas e no bashorgh, e não no sistema de segurança corporativo. Defina os requisitos para senhas e seu comprimento, defina a frequência da substituição.
A senha é como roupa íntima: altere-a com mais frequência, não compartilhe com seus amigos, quanto tempo é melhor, seja misterioso, não se espalhe por todos os lugares- As senhas do fornecedor para entrar no programa por padrão são falhas, apenas porque quase todos os funcionários do fornecedor as conhecem e se você estiver lidando com um sistema baseado na Web na nuvem, não será difícil para ninguém obter os dados. Especialmente se você também tiver segurança de rede no nível de "não puxe o fio".
- Explique aos funcionários que a dica de senha no sistema operacional não deve ser "meu aniversário", "nome da filha", "Gvoz-dika-78545-up # 1! em inglês ". ou "quarto e um com zero".
Meu gato me dá ótimas senhas! Ele anda no meu tecladoAcesso físico aos negócios
Como você organiza o acesso à documentação contábil e pessoal (por exemplo, aos arquivos pessoais dos funcionários) em sua empresa? Deixe-me adivinhar: se é uma pequena empresa, no departamento de contabilidade ou no escritório do chefe em pastas nas prateleiras ou no armário, se grande, no departamento de pessoal nas prateleiras. Mas se for muito grande, provavelmente tudo está correto: um escritório separado ou um bloco com uma chave magnética, à qual apenas funcionários individuais têm acesso e para chegar lá, é necessário ligar para um deles e ir para esse nó na presença deles. Não há nada complicado em fazer essa proteção em qualquer empresa, ou pelo menos aprender a não escrever a senha do escritório com o giz na porta ou na parede (tudo é baseado em fatos reais, não ria).
Por que isso é importante? Em primeiro lugar, os trabalhadores têm um desejo patológico de aprender o mais secreto um do outro: situação conjugal, salários, diagnóstico médico, educação etc. Essa é uma evidência incriminadora da concorrência nos escritórios. E você não está nada satisfeito com as brigas que surgirão quando a designer Petya descobrir que ele recebe 20 mil a menos que a designer Alice. Em segundo lugar, no mesmo local, os funcionários podem ter acesso às informações financeiras da empresa (saldos, relatórios anuais, contratos). Terceiro, algo elementar pode ser perdido, danificado ou roubado, a fim de encobrir os traços de sua própria biografia do trabalho.
Armazém, onde alguém tem uma perda, alguém - um tesouro
Se você tem um armazém, considere que, mais cedo ou mais tarde, é garantido que você se depara com delinqüentes - a psicologia de uma pessoa que vê um grande volume de produtos e acredita firmemente que um pouco de muito não é roubo, mas compartilhar é exatamente assim. Uma unidade de bens dessa pilha pode custar 200 mil, 300 mil e vários milhões. Infelizmente, o roubo não pode ser impedido por nada além de controle pedante e total e contabilidade: câmeras, recebimento e débito por códigos de barras, automação da contabilidade do armazém (por exemplo, em nosso
RegionSoft CRM, a contabilidade do armazém é organizada de forma que o gerente e o supervisor possam ver movimentos mercadorias em estoque em tempo real).
Portanto, arme seu armazém até os dentes, garanta segurança física contra o inimigo externo e segurança completa - a partir do interno. Os funcionários no transporte, na logística, no armazém devem perceber claramente que há controle, que funciona e apenas que eles se punirão.
* uki, não coloque suas mãos na infraestrutura
Se a história sobre a sala dos servidores e a faxineira já sobreviveu e migrou há muito tempo para as bicicletas de outras indústrias (por exemplo, a mesma história foi sobre o desligamento místico da ventilação mecânica na mesma sala), o resto permanece uma realidade. As empresas de segurança de rede e TI em pequenas e médias empresas deixam muito a desejar, e isso geralmente não depende de você ter um administrador de sistema ou um convidado. Este último costuma melhorar ainda mais.
Então, do que os funcionários daqui são capazes?
- O mais doce e inofensivo é ir à sala do servidor, puxar os fios, ver, derramar chá, aplicar sujeira ou tentar configurar alguma coisa você mesmo. Isso é especialmente verdadeiro para “usuários avançados e confiantes” que heroicamente ensinam seus colegas a desativar antivírus e desviar a proteção em um PC e têm certeza de que são deuses inatos dos servidores. Em geral, o acesso limitado autorizado é tudo para você.
- Roubo de equipamentos e substituição de componentes. Você ama sua empresa e coloca placas de vídeo poderosas para que todos possam fazer o sistema de cobrança, CRM e tudo mais funcionar perfeitamente? Ótimo! Somente garotos astutos (e às vezes garotas) podem facilmente substituí-los por suas casas, e eles conduzem os jogos em casa com um novo modelo de escritório - eles não reconhecem metade do mundo. A mesma história com teclados, mouses, coolers, no-breaks e tudo o que de alguma forma pode ser substituído dentro da estrutura da configuração de ferro. Como resultado, você corre o risco de danos à propriedade, sua perda total e, ao mesmo tempo, não obtém a velocidade e a qualidade desejadas de trabalho com sistemas e aplicativos de informação. O sistema de monitoramento (sistema ITSM) com controle de configuração configurado) salva, que deve ser fornecido com um administrador de sistema incorruptível e com princípios.
- O uso de modems, pontos de acesso ou algum tipo de Wi-Fi compartilhado torna o acesso a arquivos menos seguro e quase incontrolável, do qual os invasores podem tirar proveito (incluindo conspiração com os funcionários). Bem, e além disso, a probabilidade de um funcionário "com sua própria Internet" ficar de fora do horário de trabalho no YouTube, sites de quadrinhos e redes sociais é muito maior.
- Senhas e logins unificados para acesso ao painel de administração do site, CMS, software aplicativo são coisas terríveis que transformam um funcionário inepto ou mal-intencionado em um vingador ilusório. Se você tem 5 pessoas da mesma sub-rede com o mesmo nome de usuário / senha, elas foram pendurar um banner, verificar links e métricas de publicidade, corrigir o layout e preencher a atualização, você nunca imaginará qual deles transformou CSS acidentalmente em uma abóbora. Portanto: logins diferentes, senhas diferentes, log de ações e diferenciação de direitos de acesso.
- Vale a pena falar sobre software não licenciado que os funcionários arrastam para seus PCs para editar algumas fotos durante o horário de trabalho ou criar algo lá em cima que seja muito passatempo. Não ouviu falar da inspeção do departamento "K" da Diretoria Central de Assuntos Internos? Então ela vai até você!
- O antivírus deve funcionar. Sim, alguns deles podem desacelerar o PC, irritar e geralmente parecer um sinal de covardia, mas é melhor evitá-lo do que pagar com tempo de inatividade ou, pior, dados roubados.
- Os avisos do sistema operacional sobre os perigos da instalação de um aplicativo não devem ser ignorados. Hoje, o download de algo para o trabalho é uma questão de segundos e minutos. Por exemplo, Direct. Comandante ou editor Adwords, algum analisador de SEO e assim por diante. Se tudo estiver mais ou menos claro com os produtos Yandex e Google, aqui está outro picresizer, um limpador de vírus gratuito, um editor de vídeo com três efeitos, capturas de tela, gravadores de skype e outros "pequenos programas" que podem prejudicar um PC individual e toda a rede da empresa. Incentive os usuários a ler o que o computador deseja deles, antes de ligar para o administrador do sistema e dizer que "tudo está morto". Em algumas empresas, o problema é resolvido simplesmente: muitos utilitários úteis baixados estão em um compartilhamento de rede e uma lista de soluções on-line adequadas também é publicada lá.
- A política BYOD ou, inversamente, a política de permitir o uso de equipamentos de trabalho fora do escritório é um lado muito ruim da segurança. Nesse caso, parentes, amigos, filhos, redes públicas desprotegidas e assim por diante têm acesso à tecnologia. Esta é uma roleta puramente russa - você pode caminhar e gerenciar por 5 anos ou pode perder ou arruinar todos os documentos e arquivos valiosos. Bem, e além do mais, se o funcionário tem uma intenção maliciosa, é real mesclar os dados com o equipamento de "caminhada", pois dois bytes podem ser enviados. Você também precisa lembrar que os funcionários geralmente transferem arquivos entre seus computadores pessoais, o que novamente pode criar brechas na segurança.
- Bloquear dispositivos enquanto estiver fora é um bom hábito, tanto na esfera corporativa quanto na pessoal. Mais uma vez, protege de colegas curiosos, conhecidos e intrusos em locais públicos. É difícil acostumar isso, mas em um dos meus locais de trabalho tive uma experiência maravilhosa: os colegas abordaram um PC não fechado, o Paint com a inscrição "Lost comp!". Virou a janela inteira. e algo mudou no trabalho, por exemplo, o último conjunto bombeado foi demolido ou o último inseto foi removido (era um grupo de teste). Cruel, mas 1-2 vezes o suficiente, mesmo para os de madeira. Embora, eu suspeito, os profissionais que não são de TI possam não entender esse humor.
- Mas o pior pecado, obviamente, recai sobre o administrador e o gerenciamento do sistema - no caso de eles categoricamente não usarem sistemas de controle de tráfego, equipamentos, licenças, etc.
É claro que essa é a base, porque a infraestrutura de TI é o local exato em que, quanto mais longe na floresta, mais lenha. E todos deveriam ter essa base, e não ser substituídos pelas palavras “todos confiamos um no outro”, “somos uma família”, “mas quem precisa” - infelizmente, é por enquanto.
Esta é a Internet, querida, eles podem saber muito sobre você
Chegou a hora de introduzir acesso seguro à Internet aos cursos de segurança da vida na escola - e isso não é sobre as medidas em que estamos imersos do exterior. Trata-se da capacidade de distinguir um link de um link, de entender onde o phishing e o divórcio não abrem anexos do "Ato de Verificação" do assunto de um endereço desconhecido, sem entendimento etc. Embora, ao que parece, os alunos já dominem tudo, mas os funcionários - não. Existem muitos truques e erros que podem comprometer toda a empresa de uma só vez.
- Redes sociais - uma seção da Internet que não possui local para trabalhar, mas bloqueá-las no nível da empresa em 2019 é uma medida impopular e desmotivadora. Portanto, você só precisa escrever para todos os funcionários como verificar a ilegalidade dos links, falar sobre os tipos de fraude e pedir que eles trabalhem no trabalho.
- O correio é um ponto dolorido e talvez a maneira mais popular de roubar informações, instalar malware, infectar seu PC e toda a rede. Infelizmente, muitos empregadores consideram o cliente de email um item de economia e usam serviços gratuitos que enviam 200 e-mails de spam por dia que passam por filtros etc. E algumas pessoas irresponsáveis abrem tais cartas e anexos, links, fotos - aparentemente, eles esperam que o príncipe negro tenha deixado a herança para eles. Após o qual o administrador tem muito trabalho. Ou era isso o que se pretendia? A propósito, outra história cruel: em uma empresa, para cada email de spam, o administrador do sistema foi reduzido pelo KPI. Em geral, depois de um mês, não havia spam - a prática foi adotada pela organização mãe e ainda não havia spam. Resolvemos esse problema normalmente - desenvolvemos nosso próprio cliente de e-mail e o incorporamos ao RegionSoft CRM , para que todos os nossos clientes também obtenham um recurso tão conveniente.
- Os mensageiros também são a fonte de todos os tipos de links inseguros, mas esse é um mal muito menor do que o correio (sem contar o tempo morto pela trepidação nas salas de bate-papo).
Parece ser todas as pequenas coisas. No entanto, cada uma dessas pequenas coisas pode ter conseqüências desastrosas, especialmente se sua empresa é alvo de um ataque de concorrentes. E isso pode acontecer com literalmente todo mundo.
Funcionários da Chatty
Esse é o fator muito humano do qual você achará difícil se livrar. Os funcionários podem discutir o trabalho no corredor, em um café, na rua, no cliente, falar alto sobre outro cliente, falar sobre realizações e projetos trabalhistas em casa. É claro que a probabilidade de um concorrente estar nas suas costas é insignificante (se você não estivesse em um centro de negócios, isso aconteceu), mas o fato de um cara que expõe claramente os assuntos comerciais será removido em um smartphone e enviado para o YouTube, por incrível que pareça. Mas isso é lixo. Não é besteira quando seus funcionários apresentam voluntariamente informações sobre um produto ou empresa em treinamentos, conferências, reuniões, fóruns profissionais, mas pelo menos na Habré. Além disso, muitas vezes as pessoas convocam deliberadamente um oponente a essas conversas para conduzir a inteligência competitiva.
História ilustrativa. Em uma conferência de TI em escala galáctica, o palestrante da seção apresentou em um slide um diagrama completo da organização da infraestrutura de TI de uma grande empresa (top 20). O esquema foi mega impressionante, apenas espaço, foi fotografado por quase todos, e instantaneamente voou pelas redes sociais com ótimas críticas. Bem, então o orador pegou geotags, stands, sociais. redes postou e implorou para remover, porque ele ligou rapidamente e disse a-ta-ta. Chatterbox - uma dádiva de Deus para o espião.
Ignorância ... livre de punição
De acordo com o relatório global da Kaspersky Lab para 2017 entre empresas que enfrentam incidentes de segurança cibernética em 12 meses, um dos dez (11%) tipos mais graves de incidentes relacionados a funcionários descuidados e desinformados.
Não suponha que os funcionários saibam tudo sobre as medidas de segurança corporativa, avise-os, realize treinamentos, faça boletins periódicos interessantes sobre problemas de segurança, realize reuniões de pizza e esclareça as perguntas novamente. E sim, vida legal - marque todas as informações impressas e eletrônicas com cores, sinais, inscrições: segredo comercial, segredo, para uso oficial, acesso geral. Isso realmente funciona.
O mundo moderno colocou as empresas em uma posição muito delicada: é necessário encontrar um equilíbrio entre o desejo do funcionário de trabalhar não apenas para arar, mas também para receber conteúdo divertido durante os intervalos / intervalos e regras estritas de segurança corporativa. Se você ativar programas de controle de controle e idiotas (sim, não é um erro de digitação - isso não é segurança, é paranóia) e câmeras nas suas costas, a confiança dos funcionários da empresa cairá e, afinal, manter a confiança também é uma ferramenta de segurança corporativa.
Portanto, conheça a medida, respeite os funcionários, faça backups. E o mais importante - coloque a segurança em primeiro plano, e não a paranóia pessoal.
Se você precisar de CRM ou ERP, estude cuidadosamente nossos produtos e compare suas capacidades com suas metas e objetivos. Haverá perguntas e dificuldades - escreva, ligue, organizaremos para você uma apresentação individual online - sem classificações e puzomerki.
Nosso canal no Telegram , no qual, sem publicidade, escrevemos coisas não muito formais sobre CRM e negócios.